主要管理装置、代理管理装置、电子装置及授权管理方法制造方法及图纸

本发明专利技术提出一种进行授权管理的主要管理装置、代理管理装置、电子装置及其授权管理方法。主要管理装置产生一第一及一第二委任授权布建资料，并将之分别传送至该代理管理装置及该电子装置。该代理管理装置利用该第一委任授权布建资料所包含的一授权密钥将一原始代理操作资料加密为一代理操作资料，再传送该代理操作资料至该电子装置。该原始代理操作资料包含一操作任务资料及一权利等级。该电子装置利用该第二委任授权布建资料所包含的该授权密钥将该代理操作资料解密为该原始代理操作资料，且根据该操作任务资料及该权利等级执行一操作。

Main management device, agent management device, electronic device and authorization management method

The invention provides a main management device, an agent management device, an electronic device and an authorization management method for authorization management. The main management device generates a first and a second authorizing authorized fabric data and transmits them to the agent management device and the electronic device respectively. The agent management device using a primitive operation data encryption is a proxy agent operating data of the first authorization information contained in a distributed authorization key, the proxy operation data to the electronic device to transmit. The raw agent operation data contains one operation task data and one right grade. The electronic device uses the second authorization information contained in the distributed authorization key will decrypt the information the agent operation for the original agent operation data, and according to the operation data and the right level task executes an operation.

【技术实现步骤摘要】
主要管理装置、代理管理装置、电子装置及授权管理方法
本专利技术是关于一种进行授权管理的主要管理装置、代理管理装置、电子装置及其授权管理方法；具体而言，本专利技术是关于一种以授权管理方式进行管理运作的主要管理装置、代理管理装置、电子装置及其授权管理方法。
技术介绍
网络技术已发展多年，图1A绘示一种已知网络系统1的架构示意图。此网络系统1包含一服务器11、一网关15及多个电子装置17，其中，服务器11通过网际网络13连结至网关15，再通过网关15连接各个电子装置17。近年来，此网络系统1的架构常被应用于智慧联网（InternetofThings；IoT）系统，例如：智慧型基础电表建设（AdvancedMeteringInfrastructure；AMI）系统。当网络系统1为智慧型基础电表建设系统时，服务器11可为一电表管理系统（MeterDataManagementSystem；MDMS），网关15可为一集中器（concentrator），而各电子装置17可为一智慧电表（smartmeter）。当网络系统1为智慧联网系统时，服务器11需要经常存取操作电子装置17内的信息（例如：读取智慧电表内所收集及储存的用电量资料、设定智慧电表的时间电价（TimeofUse；TOU）参数、控制智慧电表内供电开关的状态（开或关）以及启动及执行智慧电表的固件更新功能等等）。由于网络系统1的规模往往相当庞大，电子装置17数量众多（举例而言，智慧型基础电表建设系统中，智慧电表数量通常达百万数量等级以上），且电子装置17的存取操作内容繁杂，当采取前述集中式（centralized）的作业方式时，亦即，由服务器11直接对各电子装置17进行存取操作，常导致作业效率不佳的问题。因而需要采用分散式作业模式，由服务器以委任授权（Delegation）方式将电子装置17的存取操作权利授权给各网关15，由各网关15来代理执行，以改善作业效率。请参阅图1B。在网络及分散式系统环境中，当系统112（亦即，委任者，Delegator）要以委任授权方式委托另一系统113（亦即，受委任者，Delegatee）存取服务系统114上的资源（Resources）时，现有委任授权机制是由系统（委任者）112签发一份授权证书（AuthorizationCredential）给系统（受委任者）113，再由系统（受委任者）113依授权范围产生存取操作请求（AccessRequest），并连同该授权证书传送给服务系统114。服务系统114经比对及验证相关权限后执行该项存取操作。授权证书主要内容包含委任者身份（Identity）、受委任者身份、权限资料（privilege）等信息，它的形式与运作方式可以是X.509权限属性凭证（PrivilegeAttributeCertificate）、Kerberos票证（Ticket）或委任凭证（DelegationCertificate）。在实际运作上，由于存取操作请求中并未包括权限信息，它必须与授权证书搭配使用，并由服务系统114对两者进行信息验证与关联性比对，相关作业复杂。而且这两项信息中也没对权限资料的意义做规范，必须由服务系统114自行解释及执行控管，由于定义不明确容易衍生相关安全性问题。此外，虽然另一种实作方式会将存取操作资料夹带在授权证书内，但因授权证书只能由系统（委任者）112产生，这种作法中系统（受委任者）113无法在授权范围内依需要自行产生存取操作信息，不但使用弹性差，而且系统（委任者）112须针对每一次存取操作产生授权证书，导致该系统作业负荷量大，应用到前述智慧联网系统时，没有达到分散处理的效果。有鉴于此，本领域亟需一种简单而具使用弹性的委任授权机制，以解决前述问题。
技术实现思路
为解决前述问题，本专利技术提供了一种进行授权管理主要管理装置、代理管理装置、电子装置及其授权管理方法。本专利技术所提供的用以进行授权管理的主要管理装置适用于一网络系统，且该网络系统包含该主要管理装置、一代理管理装置及一电子装置。该主要管理装置包含一处理单元及一收发接口，且二者彼此电性连接。该处理单元产生一第一委任授权布建资料及一第二委任授权布建资料。该第一委任授权布建资料包含一授权密钥、一权利等级及一权利符记，且该第二委任授权布建资料包含该授权密钥及一权利验证资料。该收发接口传送该第一委任授权布建资料至该代理管理装置，使该代理管理装置利用该授权密钥将一原始代理操作资料加密为一代理操作资料。该收发接口更传送该第二委任授权布建资料至该电子装置，俾该电子装置利用该授权密钥将来自该代理管理装置的该代理操作资料解密为该原始代理操作资料，且使该电子装置利用该权利验证资料与该原始代理操作资料所包含的该权利等级及一操作任务资料进行一验证程序，并根据该权利等级及该操作任务资料执行一操作。本专利技术所提供的用以进行授权管理的代理管理装置适用于一网络系统，且该网络系统包含该代理管理装置、一主要管理装置及一电子装置。该代理管理装置包含一第一收发接口、一储存单元、一处理单元及一第二收发接口，其中该处理单元电性连接至该第一收发接口、该储存单元及该第二收发接口。该第一收发接口自该主要管理装置接收一委任授权布建资料。该储存单元储存该委任授权布建资料所包含的一授权密钥、一权利等级及一权利符记。该处理单元利用该授权密钥、该权利符记、该权利等级及一操作任务资料进行一验证型式运算（verificationpatterncalculation），利用该授权密钥将一原始代理操作资料加密为一代理操作资料，其中该原始代理操作资料包含一操作任务资料及该权利等级。该第二收发接口传送该代理操作资料至该电子装置，使该电子装置利用一权利验证资料及该原始代理操作资料所包含的该权利等级及该操作任务资料进行一验证程序，且使该电子装置根据该权利等级及该操作任务资料执行一操作。本专利技术所提供的用以进行授权管理的电子装置适用于一网络系统，且该网络系统包含该电子装置、一主要管理装置及一代理管理装置。该电子装置包含一收发接口、一储存单元及一处理单元，且该处理单元电性连接至该收发接口及该储存单元。该收发接口自该主要管理装置接收一委任授权布建资料，且自该代理管理装置接收一代理操作资料。该储存单元储存该委任授权布建资料所包含一授权密钥及一权利验证资料。该处理单元利用该授权密钥将该代理操作资料解密为一原始代理操作资料，借此取得一操作任务资料及一权利等级。该处理单元更利用该授权密钥、一权利验证资料及该原始代理操作资料所包含的该权利等级及该操作任务资料进行一验证型式运算，且根据该权利等级及该操作任务资料执行一操作。本专利技术所提供的授权管理方法适用于一主要管理装置。一网络系统包含该主要管理装置、一代理管理装置及一电子装置。该授权管理方法包含下列步骤：(a)产生一第一委任授权布建资料，其中该第一委任授权布建资料包含一授权密钥、一权利等级及一权利符记，(b)产生一第二委任授权布建资料，其中该第二委任授权布建资料包含该授权密钥及一权利验证资料，(c)传送该第一委任授权布建资料至该代理管理装置，使该代理管理装置利用该授权密钥将一原始代理操作资料加密为一代理操作资料，以及(d)传送该第二委任授权布建资料至该电子装置，使该电子装置利用该授权密本文档来自技高网...

【技术保护点】
一种进行授权管理的主要管理装置，一网络系统包含该主要管理装置、一代理管理装置及一电子装置，该主要管理装置包含：一处理单元，用以产生一第一委任授权布建资料及一第二委任授权布建资料，其中该第一委任授权布建资料包含一授权密钥、一权利等级及一权利符记，该第二委任授权布建资料包含该授权密钥及一权利验证资料；以及一收发接口，电性连接至该处理单元，且传送该第一委任授权布建资料至该代理管理装置，使该代理管理装置利用该授权密钥将一原始代理操作资料加密为一代理操作资料；其中，该收发接口还传送该第二委任授权布建资料至该电子装置，使该电子装置利用该授权密钥将来自该代理管理装置的该代理操作资料解密为该原始代理操作资料，且使该电子装置利用该权利验证资料与该原始代理操作资料所包含的该权利等级及一操作任务资料进行一验证程序，并根据该权利等级及该操作任务资料执行一操作。

【技术特征摘要】
1.一种进行授权管理的主要管理装置，一网络系统包含该主要管理装置、一代理管理装置及一电子装置，该主要管理装置包含：一处理单元，用以产生一第一委任授权布建资料及一第二委任授权布建资料，其中该第一委任授权布建资料包含一授权密钥、一权利等级及一权利符记，该第二委任授权布建资料包含该授权密钥及一权利验证资料；以及一收发接口，电性连接至该处理单元，且传送该第一委任授权布建资料至该代理管理装置，使该代理管理装置利用该授权密钥将一原始代理操作资料加密为一代理操作资料；其中，该收发接口还传送该第二委任授权布建资料至该电子装置，使该电子装置利用该授权密钥将来自该代理管理装置的该代理操作资料解密为该原始代理操作资料，且使该电子装置利用该权利验证资料与该原始代理操作资料所包含的该权利等级及一操作任务资料进行一验证程序，并根据该权利等级及该操作任务资料执行一操作。2.如权利要求1所述的主要管理装置，其特征在于，该处理单元还利用该权利验证资料、该权利等级及一杂凑函数产生该权利符记。3.如权利要求2所述的主要管理装置，其特征在于，该权利等级为一正整数，该处理单元是以该杂凑函数对该权利验证资料进行一预定次数的运算以产生该权利符记，该预定次数等于该权利等级。4.如权利要求1所述的主要管理装置，还包含：一储存单元，储存一存取权限资料；其中，该第二委任授权布建资料还包含该存取权限资料，该处理单元还利用一权利验证资料、一权利计算辅助资料、一权利等级及一杂凑函数产生该权利符记，该权利计算辅助资料包含该存取权限资料及与该电子装置相关的一设备代号其中之一或其组合。5.如权利要求4所述的主要管理装置，其特征在于，该权利等级为一正整数，该处理单元是以该杂凑函数对该权利验证资料及该权利计算辅助资料进行一预定次数的运算以产生该权利符记，该预定次数等于该权利等级。6.一种进行授权管理的代理管理装置，一网络系统包含该代理管理装置、一主要管理装置及一电子装置，该代理管理装置包含：一第一收发接口，自该主要管理装置接收一委任授权布建资料；一储存单元，储存该委任授权布建资料所包含的一授权密钥、一权利等级及一权利符记；一处理单元，电性连接至该第一收发接口，且利用该授权密钥、该权利符记、该权利等级及一操作任务资料进行一验证型式运算，以及利用该授权密钥将一原始代理操作资料加密为一代理操作资料，其中该原始代理操作资料包含一操作任务资料及该权利等级；以及一第二收发接口，电性连接至该处理单元，且传送该代理操作资料至该电子装置，使该电子装置利用该授权密钥将该代理操作资料解密为该原始代理操作资料、利用一权利验证资料及该原始代理操作资料所包含的该权利等级及该操作任务资料进行一验证程序以及根据该权利等级及该操作任务资料执行一操作。7.如权利要求6所述的代理管理装置，其特征在于，该操作任务资料包含一对象代码及一操作代码。8.如权利要求6所述的代理管理装置，其特征在于，该处理单元是以该授权密钥、该权利符记、该权利等级及该操作任务资料进行该验证型式运算以得一验证资料，且该第二收发接口还将该验证资料传送至该电子装置。9.如权利要求6所述的代理管理装置，其特征在于，该处理单元是以该授权密钥、该权利符记、该权利等级及该操作任务资料进行该验证型式运算以得一验证资料，且该原始代理操作资料还包含该验证资料。10.如权利要求6所述的代理管理装置，其特征在于，该处理单元是以该授权密钥、该权利符记及该代理操作资料进行该验证型式运算以得一验证资料，且该第二收发接口还将该验证型式传送至该电子装置。11.一种电子装置，一网络系统包含该电子装置、一主要管理装置及一代理管理装置，该电子装置包含：一收发接口，自该主要管理装置接收一委任授权布建资料，且自该代理管理装置接收一代理操作资料；一储存单元，储存该委任授权布建资料所包含一授权密钥及一权利验证资料；一处理单元，电性连接至该收发接口及该储存单元，利用该授权密钥将该代理操作资料解密为一原始代理操作资料，借此取得一操作任务资料及一权利等级，该处理单元还利用该授权密钥、该权利验证资料及该原始代理操作资料所包含的该权利等级及该操作任务资料进行一验证型式运算，且根据该权利等级及该操作任务资料执行一操作。12.如权利要求11所述的电子装置，其特征在于，该操作任务资料包含一对象代码及一操作代码。13.如权利要求11所述的电子装置，其特征在于，该收发接口还自该代理管理装置接收一第一验证资料，该处理单元还利用该权利验证资料、该权利等级及一杂凑函数产生一权利符记，该处理单元是以该授权密钥、该权利符记、该权利等级及该操作任务资料进行该验证型式运算以得一第二验证资料，该处理单元还判断该第一验证资料与该第二验证资料相同，其中该处理单元是于判断该第一验证资料与该第二验证资料相同后执行该操作。14.如权利要求13所述的电子装置，其特征在于，该权利等级为一正整数，该处理单元是以该杂凑函数对该权利验证资料进行一预定次数的运算以产生该权利符记，该预定次数等于该权利等级。15.如权利要求11所述的电子装置，其特征在于，该委任授权布建资料还包含一存取权限资料，该收发接口还自该代理管理装置接收一第一验证资料，该处理单元还利用该权利验证资料、一权利计算辅助资料、该权利等级及一杂凑函数产生一权利符记，该权利计算辅助资料包含该存取权限资料及与该电子装置相关的一设备代号其中之一或其组合，该处理单元是以该授权密钥、该权利符记、该权利等级及该操作任务资料进行该验证型式运算以得一第二验证资料，该处理单元还判断该第一验证资料与该第二验证资料相同，该处理单元还于判断该第一验证资料与该第二验证资料相同后，判断该权利等级及该操作任务资料符合该存取权限资料的规范，其中该处理单元是于判断该权利等级及该操作任务资料符合该存取权限资料的规范后执行该操作。16.如权利要求15所述的电子装置，其特征在于，该权利等级为一正整数，该处理单元是以该杂凑函数对该权利验证资料及该权利计算辅助资料进行一预定次数的运算以产生该权利符记，该预定次数等于该权利等级。17.如权利要求11所述的电子装置，其特征在于，该原始代理操作资料还包含一第一验证资料，该处理单元更利用该权利验证资料、该权利等级及一杂凑函数产生一权利符记，该处理单元还以该授权密钥、该权利符记、该权利等级及该操作任务资料进行一验证型式运算以得一第二验证资料，该处理单元还判断该第一验证资料与该第二验证资料相同，其中该处理单元是于判断该第一验证资料与该第二验证资料相同后执行该操作。18.如权利要求17所述的电子装置，其特征在于，该权利等级为一正整数，该处理单元是以该杂凑函数对该权利验证资料进行一预定次数的运算以产生该权利符记，该预定次数等于该权利等级。19.如权利要求11所述的电子装置，其特征在于，该委任授权布建资料还包含一存取权限资料，该原始代理操作资料还包含一第一验证资料，该处理单元还利用该权利验证资料、一权利计算辅助资料、该权利等级及一杂凑函数产生一权利符记，该权利计算辅助资料包含该存取权限资料及与该电子装置相关的一设备代号其中之一或其组合，该处理单元是以该授权密钥、该权利符记、该权利等级及该操作任务资料进行一验证型式运算以得一第二验证资料，该处理单元还判断该第一验证资料与该第二验证资料相同，该处理单元还于判断该第一验证资料与该第二验证资料相同后，判断该权利等级及该操作任务资料符合该存取权限资料的规范，其中该处理单元是于判断该权利等级及该操作任务资料符合该存取权限资料的规范后执行该操作。20.如权利要求19所述的电子装置，其特征在于，该权利等级为一正整数，该处理单元是以该杂凑函数对该权利验证资料及该权利计算辅助资料进行一预定次数的运算以产生该权利符记，该预定次数等于该权利等级。21.如权利要求11所述的电子装置，其特征在于，该收发接口还自该代理管理装置接收一第一验证资料，该处理单元还利用该权利验证资料、该权利等级及一杂凑函数产生一权利符记，该处理单元是以该授权密钥、该权利符记及该代理操作资料进行一验证型式运算以得一第二验证资料，该处理单元还判断该第一验证资料与该第二验证资料相同，其中该处理单元是于判断该第一验证资料与该第二验证资料相同后执行该操作。22.如权利要求21所述的电子装置，其特征在于，该权利等级为一正整数，该处理单元是以该杂凑函数对该权利验证资料进行一预定次数的运算以产生该权利符记，该预定次数等于该权利等级。23.如权利要求11所述的电子装置，其特征在于，该委任授权布建资料还包含一存取权限资料，该收发接口还自该代理管理装置接收一第一验证资料，该处理单元还利用该权利验证资料、一权利计算辅助资料、该权利等级及一杂凑函数产生一权利符记，该权利计算辅助资料包含一存取权限资料及与该电子装置相关的一设备代号其中之一或其组合，该处理单元是以该授权密钥、该权利符记及该代理操作资料进行一验证型式运算以得一第二验证资料，该处理单元还判断该第一验证资料与该第二验证资料相同，该处理单元还于判断该第一验证资料与该第二验证资料相同后，判断该权利等级及该操作任务资料符合该存取权限资料的规范，其中该处理单元是于判断该权利等级及该操作任务资料符合该存取权限资料的规范后执行该操作。24.如权利要求23所述的电子装置，其特征在于，该权利等级为一正整数，该处理单元是以该杂凑函数对该权利验证资料及该权利计算辅助资料进行一预定次数的运算以产生该权利符记，该预定次数等于该权利等级。25.一种授权管理方法，适用于一主要管理装置，一网络系统包含该主要管理装置、一代理管理装置及一电子装置，该授权管理方法包含下列步骤：(a)产生一第一委任授权布建资料，其中该第一委任授权布建资料包含...

【专利技术属性】
技术研发人员：吴瑞明，黄友炼，谢智强，周泽民，
申请(专利权)人：财团法人资讯工业策进会，
类型：发明
国别省市：中国台湾,71